シスコのSD-WANが、分かりにくいのはなぜか：SD-WANは、何をしてくれるのか（6）

シスコシステムズは、SD-WANに対してどのようなスタンスをとっているのか。結論から言えば、同社の既存技術の適用形態としてSD-WANを捉えており、一方で即座に活用できるソリューションを求める人々には、「Cisco Meraki」を推進するということになる。

[三木泉，＠IT]

　シスコシステムズは、SD-WANに対してどのようなスタンスをとっているのか。結論から言えば、同社がこれまでネットワーク機器に組み込んできた機能の適用形態の1つとしてSD-WANを捉え、一方で即座に活用できるソリューションを求める人々には、「Cisco Meraki」シリーズを推進するということになる。

　シスコは少なくともこれまで、「SD-WAN」という言葉を自ら積極的に使おうとはしてこなかった。理由は容易に想像できる。技術的に新しいことがないにもかかわらず、ベンチャー企業が無理やり新たな市場を生み出すために使っている言葉だと考えているからだ。

　筆者は違う考えを持っている。いくら高度な技術があっても、利用する側が使いこなせないのでは意味がない。ハイパーコンバージドインフラの場合も同じだが、エンタープライズIT分野における最大のトレンドとは「ITのツール化」であり、複雑な技術をより幅広い層の人々が活用できるようにすることの価値が高まってきている。

　SD-WANは全般的にいって、本連載の第1回でも述べたように、ネットワーク転送技術についてはこれまでに全くなかったものを生み出したとはいえない。それよりも、さまざまな組織や用途における、WANについての課題を解決することをテーマとしている。従って、SD-WANベンダーは、利用形態や利用技術に力を入れ、ネットワーク技術用語を理解する必要なくポリシーとしてWANが運用できる、あるいはビジネスニーズを直接WAN運用に反映できるようにしている。管理コンソールで何をどのように制御できるかが重要なポイントの1つになるのは、このためだ。

　本記事ではこの観点から、シスコの日本法人への取材に基づき、SD-WANという切り口でシスコが何を提供しているかを、既存シスコネットワーク製品とMerakiに分けて紹介する。

　本連載の第1回で、「シスコのiWANは機能だ」と書いた。シスコはSD-WANをトピックとするイベントに参加する際などで、「iWAN（Intelligent WAN）」という言葉を用いている。シスコ システムエンジニアリング本部テクニカルソリューションズアーキテクトの生田和正氏は、「iWANとは、シスコが約10年にわたりネットワーク製品で提供してきた機能のうち、SD-WANの要件に合致したものをまとめたマーケティング用語」と表現する。

　つまり大まかにいえば、Cisco IOSを搭載した既存のシスコルータ（の適切なライセンス）を使っているユーザー組織なら、これを活用してSD-WANを構築できるというのがシスコの言い分だ。

　ハイブリッドWAN、新規拠点へのVPN展開の自動化、クラウド接続という、SD-WANの3大ユースケースを基にまとめると、次のようになる。

　ハイブリッドWANについては、トラフィックフロー情報取得機能NetFlowで取得する、トラフィックフローの遅延やジッタ、パケットドロップなどの情報に基づいてインタフェースを自動的に切り替えたり、併用したりすることができる（「Intelligent Path Control」）。NetFlowでは、アプリケーション識別機能「NBAR（Network Based Application Recognition）」を適用することで、アプリケーションの可視化と制御ができるようになっている（「Cisco AVC（Application Visualization and Control）」）。つまり、アプリケーションごとにQoSポリシーを設定し、これをリアルタイムのトラフィックフロー情報に基づいて動的に適用できる。また、「Cisco WAAS」によるWAN最適化機能（パケットの重複排除や圧縮など）も活用できる。

　VPN展開の自動化では、Cisco Startのルータ「Cisco 841M J」にも備わっている拠点間メッシュ接続の自動化機能「DMVPN」が使える。

　クラウド接続では、ファイアウォール製品「Cisco ASA」の仮想インスタンス版である「Cisco ASAv」を、Amazon Web Servicesなどのパブリッククラウドや社内の仮想化環境上で動かし、他のシスコ機器との間でVPNを構成できる。さらにインターネットHTTPおよびHTTP/Sの高速化では、WAASで米アカマイのWebキャッシュとの連携機能（「Akamai Connect」と呼んでいる）を活用できる。

シスコは、既存製品の既存機能を組み合わせることで、SD-WANソリューションが構築できるとする

　シスコが「SD-WAN」という言葉を使ってこなかったからといって、「昔ながらの技術を、昔ながらの利用形態で使ってくれ」と言っているわけではないことは、筆者も認識している。同社が2016年から推進している「Cisco DNA」では、シスコの製品・サービス全般を対象に、仮想化や自動化、プログラマビリティ向上を進めるとしていて、WANについてもこれを対象としている。

　シスコ エンタープライズ ネットワーキング事業 システムエンジニアマネージャの松崎虎雄氏は、「Cisco DNAは、これまで提供してきたさまざまな製品を、アプリケーションアプリケーション指向的な考え方で一括制御していく取り組み」であり、これがSD-WANに直結していると話す。

　Cisco DNAの下で、例えばシスコは、「Enterprise NFV」という言葉を使い、拠点におけるWANのSDN化を進めている。具体的には、シスコの統合ルータである「Cisco ISR 4000シリーズ」、あるいはこれに同社のサーバブレード「Cisco UCS-E」を搭載した構成、もしくは同社のサーバ「Cisco UCSシリーズ」をプラットフォームとして使う。そしてこれらの上で、仮想ルータ「ISRv」、仮想ファイアウォール「ASAv」、仮想WAN最適化「vWAAS」、仮想無線LANコントローラ「vWLC」などを動かせる。「vWAAS」では前述のAkamai Connectに加え、Microsoft Office 365の体感速度を向上する機能を搭載している。

　これらにより、各拠点が本社や他拠点とVPNで接続する一方、インターネットとは本社経由でなく直接接続するシナリオを支援できるという。その際には各拠点のネットワークセキュリティをどう確保するか課題だが、これについては、ISR 4000シリーズが以前より搭載しているセキュリティ機能を活用できることになる。

SD-WANコントローラの選択肢は

　既に製品名や機能名がたくさん登場し、頭が痛くなってきた読者もいるだろう。SD-WANでは、ネットワーク技術に関する知識のない人でも、「ビジネス」ポリシーに基づいてWANを制御できるようになる必要がある。管理インタフェースが重要だと筆者が考える理由はここにある。では、こうした観点でシスコが提供するコントローラ／管理インタフェースとしては何があるか。

　シスコが提供しているものとしては、LAN／WANのためのSDN管理ツールといえる「Cisco APIC-EM」がある。APIC-EMでは、導入済みのシスコLAN／WAN製品を対象とし、アプリケーション側の運用担当者が使うことを想定して、これらを統合的に、ポリシーで管理できるようにしている。基本機能については無償で提供、高度な機能は有償となっている。同社には「Cisco Prime Infrastructure」という統合設定管理ツールもあるが、こちらはネットワークエンジニアを対象としている。

　よりビジュアルにSD-WAN運用がしたいユーザーには、LiveActionという企業の「LiveNX」というツールを勧めているという。LiveNX では親しみやすいWebインタフェースでWANのトポロジーやアプリケーションパフォーマンスを可視化、QoS制御などができるとしている。APIC-EMやLiveNXはソフトウェアだが、管理コンソールをサービスとして使いたい組織には、米Glue Networksの「Gluware Control」（ソフトウェア、サービスの2形態で提供）を勧めるという。

　生田氏は、コントローラ／管理コンソールをこのように選べるようにしているのも、他にはない特徴だと話している。

SD-WAN製品としてのCisco Meraki

　これでもまだ、さまざまな製品とツールの組み合わせになり、分かりやすいとは言い難い。だが実は、シスコが中堅・中小規模拠点向けに提供しているクラウド管理型ネットワーク製品シリーズのCisco Merakiは、SD-WANソリューションとして扱えるような機能の多くを備えている。シスコ自身がこのことを強調してこなかっただけだ。

例えばいわゆるハイブリッドWAN機能について、meraki MXはアプリケーションパフォーマンスに応じ、最適な経路を選択する機能を備える

　各拠点に設置するVPNルータ／セキュリティアプライアンスの「Meraki MX」は、各拠点において複雑な作業を行わずに、機器の初期設定が行える機能を備えている。拠点間のVPNについても、「3ステップで」設定できるという。ハブ―スポーク型、メッシュ型の双方に対応し、VPN接続拠点以外に向けたトラフィックはVPNを通さない「スプリットトンネル」の設定もできる。

　また、プライベートWANサービス、パブリックWANサービス、3G／4Gモバイル通信サービスの間で、回線断あるいはアプリケーションレベルのパフォーマンス劣化に対応し、アプリケーション別にトラフィックを動的に振り分けることができる。

　拠点の直接インターネット接続で必要となるセキュリティ機能については、次世代ファイアウォール、コンテンツフィルタリング、マルウェア検知などの機能をそろえており、サービスとして提供されている管理コンソールで、WAN設定と統合的に、ポリシーとして設定することが可能だ。

　まとめると、Merakiは他のSD-WAN製品と比較・検討できるものだといえる。一方既存のシスコ機器を使ったソリューションは、より複雑な構成・設定が必要な場合や、既存のシスコ機器を生かしたい場合に考慮すべきものだといえる。